Пошаговое руководство. Использование облака для настройки групповой политики на устройствах Windows 10/11 с шаблонами ADMX и Microsoft Intune

Примечание.

Это пошаговое руководство было создано как технический семинар для Microsoft Ignite. Он содержит больше предварительных требований, чем обычные пошаговые руководства, так как сравнивает использование и настройку политик ADMX в Intune и локальной среде.

Административные шаблоны групповой политики, также известные как шаблоны ADMX, включают параметры, которые можно настроить на клиентских устройствах Windows, включая компьютеры. Параметры шаблона ADMX доступны различными службами. Эти параметры используются поставщиками мобильных Управление устройствами (MDM), включая Microsoft Intune. Например, можно включить идеи оформления в PowerPoint, задать домашнюю страницу в Microsoft Edge и многое другое.

Совет

Общие сведения о шаблонах ADMX в Intune, включая встроенные в Intune шаблоны ADMX, см. в статье Использование шаблонов ADMX Windows 10/11 в Microsoft Intune.

Дополнительные сведения о политиках ADMX см. в статье Основные сведения о политиках, поддерживаемых ADMX.

Эти шаблоны встроены в Microsoft Intune и доступны в виде профилей административных шаблонов. В этом профиле вы настраиваете параметры, которые хотите включить, а затем "назначаете" этот профиль своим устройствам.

В этом пошаговом руководстве описано следующее:

• Ознакомьтесь с центром администрирования Microsoft Intune.
• Создание групп пользователей и групп устройств.
• Сравните параметры в Intune с локальными параметрами ADMX.
• Создайте различные административные шаблоны и настройте параметры, предназначенные для разных групп.

К концу этого задания вы можете использовать Intune и Microsoft 365 для управления пользователями и развертывания административных шаблонов.

Данная функция применяется к:

• Windows 11
• Windows 10 версии 1709 и более поздних

Совет

Административный шаблон можно создать одним из двух способов: с помощью шаблона или с помощью каталога параметров. В этой статье рассматривается использование шаблона Административные шаблоны. Каталог параметров содержит больше доступных параметров административного шаблона. Инструкции по использованию каталога параметров см. в разделе Настройка параметров с помощью каталога параметров.

Предварительные требования

• Подписка Microsoft 365 E3 или E5, которая включает Intune и Microsoft Entra ID P1 или P2. Если у вас нет подписки E3 или E5, попробуйте ее бесплатно.

  Дополнительные сведения о том, что вы получаете с различными лицензиями Microsoft 365, см. в статье Преобразование предприятия с помощью Microsoft 365.

• Microsoft Intune настраивается как центр MDM Intune. Дополнительные сведения см. в статье Настройка центра управления мобильными устройствами.

  

• На контроллере домена локальная служба Active Directory:

  1. Скопируйте следующие шаблоны Office и Microsoft Edge в Центральный магазин (папка sysvol):

     • Административные шаблоны Office
     • Файл политики административных шаблонов > Microsoft Edge

  2. Создайте групповую политику, чтобы отправить эти шаблоны на компьютер администратора Windows 10/11 Enterprise в том же домене, что и контроллер домена. В этом пошаговом руководстве выполните следующее:

     • Групповая политика, созданная с помощью этих шаблонов, называется OfficeandEdge. Это имя отображается на изображениях.
     • Компьютер администратора Windows 10/11 Enterprise, который мы используем, называется компьютером Администратор.

     В некоторых организациях администратор домена имеет две учетные записи:

     • Типичная доменная рабочая учетная запись
     • Другая учетная запись администратора домена, используемая только для задач администратора домена, таких как групповая политика

     Цель этого Администратор компьютера — войти с помощью учетной записи администратора домена и получить доступ к средствам, предназначенным для управления групповой политикой.

• На этом компьютере Администратор:

  • Войдите с учетной записью администратора домена.

  • Добавьте средства управления RSAT: групповая политика:

    1. Откройте приложение >ПараметрыСистема>Необязательные функции>Добавить функцию.

       Если вы используете версию старше Windows 10 22H2, перейдите в раздел Параметры>Приложения Приложения>& функции>Дополнительные функции>Добавить функцию.

    2. Выберите RSAT: групповая политика Средства> управленияДобавить.

       Подождите, пока Windows добавит эту функцию. После завершения он в конечном итоге отобразится в приложении "Администрирование Windows".

       

  • Убедитесь, что у вас есть доступ к Интернету и права администратора для подписки Microsoft 365, которая включает центр администрирования Intune.

Открытие Центра администрирования Intune

1. Откройте веб-браузер chromium, например Microsoft Edge версии 77 и более поздних версий.

2. Перейдите в Центр администрирования Microsoft Intune. Войдите с помощью следующей учетной записи:

   Пользователь. Введите учетную запись администратора подписки клиента Microsoft 365.
   Пароль. Введите пароль.

Этот центр администрирования ориентирован на управление устройствами и включает службы Azure, такие как Microsoft Entra ID и Intune. Вы можете не увидеть Microsoft Entra ID и Intune фирменной символики, но вы используете их.

Вы также можете открыть Центр администрирования Intune из Центр администрирования Microsoft 365:

1. Перейдите по адресу https://admin.microsoft.com.

2. Войдите с учетной записью администратора подписки клиента Microsoft 365.

3. Выберите Показать все>центры администрирования Управление конечными>точками. Откроется Центр администрирования Intune.

   

Создание групп и добавление пользователей

Локальные политики применяются в порядке LSDOU : локальные, сайты, домены и подразделения. В этой иерархии политики подразделений перезаписывают локальные политики, политики домена перезаписывают политики сайта и т. д.

В Intune политики применяются к создаваемым пользователям и группам. Иерархии не существует. Например:

• Если две политики обновляют один и тот же параметр, то возникнет конфликт.
• Если конфликтуют две политики соответствия требованиям, применяется самая строгая политика.
• Если два профиля конфигурации конфликтуют, параметр не применяется.

Дополнительные сведения см. в статье Общие вопросы, проблемы и решения политик и профилей устройств.

На следующих шагах вы создадите группы безопасности и добавьте пользователей в эти группы. Вы можете добавить пользователя в несколько групп. Например, пользователь обычно имеет несколько устройств, таких как Surface Pro для работы и мобильное устройство Android для личного использования. Кроме того, человек обычно получает доступ к ресурсам организации с этих нескольких устройств.

1. В Центре администрирования Intune выберите Группы>Новая группа.

2. Введите следующие параметры.

   • Тип группы: выберите Безопасность.
   • Имя группы: введите все устройства Windows 10 учащихся.
   • Тип членства: выберите Назначено.

3. Выберите Участники и добавьте некоторые устройства.

   Добавление устройств является необязательным. Цель состоит в том, чтобы попрактиковаться в создании групп и научиться добавлять устройства. Если вы используете это пошаговое руководство в рабочей среде, помните о том, что вы делаете.

4. Выберите>Создайте , чтобы сохранить изменения.

   Не видите свою группу? Выберите Обновить.

5. Выберите Создать группу и введите следующие параметры:

   • Тип группы: выберите Безопасность.

   • Имя группы: введите все устройства Windows.

   • Тип членства: выберите Динамическое устройство.

   • Динамические члены устройства. Выберите Добавить динамический запрос и настройте запрос:

     • Свойство: выберите deviceOSType.
     • Оператор: выберите Равно.
     • Значение: введите Windows.

     1. Выберите Добавить выражение. Выражение отображается в синтаксисе правила:

        

        Когда пользователи или устройства соответствуют введенным критериям, они автоматически добавляются в динамические группы. В этом примере устройства автоматически добавляются в эту группу, если операционная система — Windows. Если вы используете это пошаговое руководство в рабочей среде, будьте осторожны. Цель состоит в том, чтобы попрактиковаться в создании динамических групп.

     2. Сохранить>Создайте , чтобы сохранить изменения.

6. Создайте группу Все преподаватели со следующими параметрами:

   • Тип группы: выберите Безопасность.

   • Имя группы: введите Все преподаватели.

   • Тип членства: выберите Динамический пользователь.

   • Динамические члены-пользователи. Выберите Добавить динамический запрос и настройте запрос:

     • Свойство: выберите отдел.

     • Оператор: выберите Равно.

     • Значение: введите Преподаватели.

       1. Выберите Добавить выражение. Выражение отображается в синтаксисе правила.

          Когда пользователи или устройства соответствуют введенным критериям, они автоматически добавляются в динамические группы. В этом примере пользователи автоматически добавляются в эту группу, когда их отдел является Преподавателем. Вы можете ввести отдел и другие свойства при добавлении пользователей в организацию. Если вы используете это пошаговое руководство в рабочей среде, будьте осторожны. Цель состоит в том, чтобы попрактиковаться в создании динамических групп.

       2. Сохранить>Создайте , чтобы сохранить изменения.

Тезисы

• Динамические группы — это функция в Microsoft Entra ID P1 или P2. Если у вас нет Microsoft Entra ID P1 или P2, вы имеете лицензию на создание только назначенных групп. Дополнительные сведения о динамических группах см. по следующим причинам:

  • Динамическое членство в группах в Microsoft Entra ID (часть 1)
  • Динамическое членство в группах в Microsoft Entra ID (часть 2)

• Microsoft Entra ID P1 или P2 включает другие службы, которые обычно используются при управлении приложениями и устройствами, включая многофакторную проверку подлинности (MFA) и условный доступ.

• Многие администраторы спрашивают, когда следует использовать группы пользователей и когда использовать группы устройств. Некоторые рекомендации см. в разделе Группы пользователей и группы устройств.

• Помните, что пользователь может принадлежать к нескольким группам. Рассмотрим некоторые другие динамические группы пользователей и устройств, которые можно создать, в частности:

  • Все учащиеся
  • Все устройства Android
  • Все устройства iOS/iPadOS
  • Маркетинг
  • Управление персоналом
  • все сотрудники Шарлотты;
  • Все сотрудники Redmond
  • ИТ-администраторы западного побережья
  • ИТ-администраторы восточного побережья

Созданные пользователи и группы также отображаются в Центр администрирования Microsoft 365, Microsoft Entra ID в портал Azure и Microsoft Intune в портал Azure. Вы можете создавать группы и управлять ими во всех этих областях для подписки клиента. Если ваша цель — управление устройствами, используйте центр администрирования Microsoft Intune.

Проверка членства в группе

1. В центре администрирования Intune выберите Пользователи>Все пользователи> выберите имя любого существующего пользователя.
2. Просмотрите некоторые сведения, которые можно добавить или изменить. Например, просмотрите свойства, которые можно настроить, например должность, отдел, город, расположение офиса и многое другое. Эти свойства можно использовать в динамических запросах при создании динамических групп.
3. Выберите Группы , чтобы просмотреть членство этого пользователя. Вы также можете удалить пользователя из группы.
4. Выберите некоторые другие параметры, чтобы просмотреть дополнительные сведения и доступные действия. Например, просмотрите назначенную лицензию, устройства пользователя и многое другое.

Что я только что сделал?

В Центре администрирования Intune вы создали новые группы безопасности и добавили в них существующих пользователей и устройства. Мы используем эти группы на последующих шагах в этом руководстве.

Создание шаблона в Intune

В этом разделе мы создадим административный шаблон в Intune, рассмотрим некоторые параметры в управлении групповая политика и сравним тот же параметр в Intune. Цель — отобразить параметр в групповой политике и тот же параметр в Intune.

1. В Центре администрирования Intune выберитеПункт Создание конфигурации>устройств>.

2. Укажите следующие свойства:

   • Платформа: выберите Windows 10 и более поздних версий.
   • Тип профиля: выберите Административные шаблоны.

3. Нажмите Создать.

4. В разделе Основные укажите следующие свойства.

   • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, введите шаблон Администратор — Windows 10 устройствах учащихся.
   • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

5. Нажмите кнопку Далее.

6. В разделе Параметры конфигурациивсе параметры отображают список всех параметров в алфавитном порядке. Вы также можете фильтровать параметры, применяемые к устройствам (конфигурация компьютера), и параметры, применяемые к пользователям (конфигурация пользователя):

   

7. Разверните узел Конфигурация> компьютераMicrosoft Edge>, выберите Параметры SmartScreen. Обратите внимание на путь к политике и все доступные параметры:

   

8. В поиске введите download. Обратите внимание, что параметры политики фильтруются:

   

Открытие управления групповая политика

В этом разделе мы покажем политику в Intune и соответствующую политику в Редактор управления групповая политика.

Сравнение политики устройств

1. На компьютере Администратор откройте приложение "Управление групповая политика".

   Это приложение устанавливается с rsat: групповая политика Management Tools, которые являются необязательным компонентом, который вы добавляете в Windows. Предварительные требования (в этой статье) перечисляют действия по его установке.

2. Разверните узел Домены> , выберите свой домен. Например, выберите contoso.net.

3. Щелкните правой кнопкой мыши политику >OfficeandEdgeИзменить. Откроется приложение Редактор управления групповая политика.

   

   OfficeandEdge — это групповая политика, включающая шаблоны ADMX Office и Microsoft Edge. Эта политика описана в разделе Предварительные требования (в этой статье).

4. Разверните разделПолитики>конфигурации> компьютера Административные>шаблоны> панель управления Персонализация. Обратите внимание на доступные параметры.

   

   Дважды щелкните Запретить включение камеры с экрана блокировки и просмотрите доступные параметры:

   

5. В Центре администрирования Intune перейдите к шаблону Администратор — Windows 10 шаблону устройств учащихся.

6. Выберите Конфигурация> компьютера панель управления>Персонализация. Обратите внимание на доступные параметры:

   

   Тип параметра — Device, а путь — /Control Panel/Personalization. Этот путь аналогичен тому, что вы только что видели в Редактор управления групповая политика. Если открыть параметр Запретить включение камеры блокировки, вы увидите те же параметры Не настроено, Включено и Отключено, что и в групповая политика Управление Редактор.

Сравнение политики пользователей

1. В шаблоне администратора выберите Конфигурация> компьютераВсе параметры и найдите inprivate browsing. Обратите внимание на путь.

   Выполните то же самое для конфигурации пользователя. Выберите Все параметры и найдите inprivate browsing.

2. В Редактор управления групповая политика найдите соответствующие параметры пользователя и устройства:

   • Устройство: разверните разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsИнтернет Обозреватель>Привимение>Отключить просмотр InPrivate.
   • Пользователь: разверните раздел Политики конфигурации>пользователей>Административные шаблоны>Компоненты> WindowsИнтернет Обозреватель>Отключите>просмотр InPrivate.

   

Совет

Чтобы просмотреть встроенные политики Windows, можно также использовать GPEdit (изменение приложения групповой политики ).

Сравнение политики Microsoft Edge

1. В Центре администрирования Intune перейдите к шаблону Администратор — Windows 10 шаблону устройств учащихся.

2. Разверните раздел Конфигурация> компьютераMicrosoft Edge>Startup, домашняя страница и страница новой вкладки. Обратите внимание на доступные параметры.

   Выполните то же самое для конфигурации пользователя.

3. В Редактор управления групповая политика найдите следующие параметры:

   • Устройство: развернитераздел Политики>конфигурации> компьютераАдминистративные шаблоны>Microsoft Edge>Startup, домашняя страница и страница новой вкладки.
   • Пользователь: разверните Раздел Политики конфигурации>пользователей>Административные шаблоны>Microsoft Edge>Startup, домашняя страница и страница новой вкладки

Что я только что сделал?

Вы создали административный шаблон в Intune. В этом шаблоне мы рассмотрели некоторые параметры ADMX и те же параметры ADMX в групповая политика Management.

Добавление параметров в шаблон администратора учащихся

В этом шаблоне мы настроим некоторые параметры Обозреватель Интернета для блокировки устройств, к которым предоставлен доступ нескольким учащимся.

1. В шаблоне Администратор — Windows 10 устройства учащихся разверните узел Конфигурация компьютера, выберите Все параметры и выполните поиск по запросу Отключить просмотр InPrivate:

   

2. Выберите параметр Отключить просмотр InPrivate . В этом окне обратите внимание на описание и значения, которые можно задать. Эти параметры похожи на те, которые отображаются в групповой политике.

3. Выберите Включено>ОК , чтобы сохранить изменения.

4. Кроме того, настройте следующие параметры Обозреватель Интернета. Не забудьте нажать кнопку ОК , чтобы сохранить изменения.

   • Разрешить перетаскивание или копирование и вставку файлов

     • Тип: Устройство
     • Путь: \Windows Components\Internet Обозреватель\Internet панель управления\Security Page\Internet Zone
     • Значение: Отключено

   • Предотвращение игнорирования ошибок сертификата

     • Тип: Устройство
     • Путь: \Компоненты Windows\Internet Обозреватель\Internet панель управления
     • Значение: Включено

   • Отключение изменения параметров домашней страницы

     • Тип: User
     • Путь: \Компоненты Windows\Internet Обозреватель
     • Значение: Включено
     • Домашняя страница: введите URL-адрес, например contoso.com.

5. Очистите фильтр поиска. Обратите внимание, что настроенные параметры перечислены в верхней части:

   

Назначение шаблона

1. В шаблоне нажимайте кнопку Далее , пока не перейдете к разделу Назначения. Выберите Выбрать группы, чтобы включить:

   

2. Отобразится список существующих пользователей и групп. Выберите созданную ранее > группу Все устройства учащихся Windows 10Выберите.

   Если вы используете это пошаговое руководство в рабочей среде, рассмотрите возможность добавления пустых групп. Цель состоит в том, чтобы попрактиковаться в назначении шаблона.

3. Нажмите кнопку Далее. В разделе Просмотр и создание выберите Создать , чтобы сохранить изменения.

Как только профиль сохраняется, он применяется к устройствам, когда они проверка с Intune. Если устройства подключены к Интернету, это может произойти немедленно. Дополнительные сведения о времени обновления политики см. в статье Сколько времени требуется устройствам для получения политики, профиля или приложения.

При назначении строгих или ограничительных политик и профилей не блокируйте себя. Рассмотрите возможность создания группы, исключенной из политик и профилей. Идея заключается в том, чтобы иметь доступ к устранению неполадок. Отслеживайте эту группу, чтобы убедиться, что она используется по назначению.

Что я только что сделал?

В Центре администрирования Intune вы создали профиль конфигурации устройства с административным шаблоном и назначили этот профиль созданной группе.

Создание шаблона OneDrive

В этом разделе вы создадите шаблон администратора OneDrive в Intune для управления некоторыми параметрами. Эти параметры выбираются, так как они часто используются организациями.

1. Создайте другой профиль (Созданиеконфигурации>устройств>).

2. Укажите следующие свойства:

   • Платформа: выберите Windows 10 и более поздних версий.
   • Тип профиля: выберите Административные шаблоны.

3. Нажмите Создать.

4. В разделе Основные укажите следующие свойства.

   • Имя: введите шаблон Администратор — политики OneDrive, которые применяются ко всем пользователям Windows 10.
   • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

5. Нажмите кнопку Далее.

6. В разделе Параметры конфигурации настройте следующие параметры. Не забудьте нажать кнопку ОК , чтобы сохранить изменения:

   • Конфигурация компьютера:

     • Автоматически выполнять вход пользователей в клиент синхронизации OneDrive с помощью учетных данных Windows
       • Тип: Устройство
       • Значение: Включено
     • Использовать функцию "Файлы из OneDrive по запросу"
       • Тип: Устройство
       • Значение: Включено

   • Конфигурация пользователя:

     • Запретить пользователям синхронизировать личные учетные записи OneDrive
       • Тип: User
       • Значение: Включено

Ваши настройки будут выглядеть следующим образом:

Дополнительные сведения о параметрах клиента OneDrive см. в статье Управление параметрами клиента приложение синхронизации OneDrive с помощью групповая политика.

Назначение шаблона

1. В шаблоне нажимайте кнопку Далее , пока не перейдете к разделу Назначения. Выберите Выбрать группы, чтобы включить:

2. Отобразится список существующих пользователей и групп. Выберите группу Все устройства Windows, созданную ранее>.

   Если вы используете это пошаговое руководство в рабочей среде, рассмотрите возможность добавления пустых групп. Цель состоит в том, чтобы попрактиковаться в назначении шаблона.

3. Нажмите кнопку Далее. В разделе Просмотр и создание выберите Создать , чтобы сохранить изменения.

На этом этапе вы создали некоторые административные шаблоны и назначили их созданным группам. Следующим шагом является создание административного шаблона с помощью Windows PowerShell и microsoft API Graph для Intune.

Необязательно. Создание политики с помощью PowerShell и API Graph

В этом разделе используются следующие ресурсы. Мы устанавливаем эти ресурсы в этом разделе.

• пакет SDK Intune PowerShell
• API Microsoft Graph для Intune

1. На Администратор компьютере откройте Windows PowerShell с правами администратора:

   1. В строке поиска введите powershell.
   2. Щелкните правой кнопкой мыши Windows PowerShell>Запустить от имени администратора.

   

2. Получение и настройка политики выполнения.

   1. Введите: get-ExecutionPolicy

      Запишите, для чего задано значение политики, которое может быть ограничено. Завершив выполнение пошагового руководства, присвойте ему исходное значение.

   2. Введите: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

   3. Введите Y , чтобы изменить его.

   Политика выполнения PowerShell помогает предотвратить выполнение вредоносных сценариев. Дополнительные сведения см. в разделе О политиках выполнения.

3. Введите: Install-Module -Name Microsoft.Graph.Intune

   Введите Y , если:

   • Запрос на установку поставщика NuGet
   • Запрос на установку модулей из ненадежного репозитория

   Это может занять несколько минут. По завершении отобразится запрос, аналогичный следующему:

   

4. В веб-браузере перейдите по адресу https://github.com/Microsoft/Intune-PowerShell-SDK/releasesи выберите файлIntune-PowerShell-SDK_v6.1907.00921.0001.zip .

   1. Выберите Сохранить как и выберите папку, которую вы запомните. c:\psscripts хороший выбор.

   2. Откройте папку, щелкните правой кнопкой мыши .zip файл >Извлечь все>извлечения. Структура папок выглядит примерно так:

      

5. На вкладке Вид проверка расширения имен файлов:

   

6. В папке и перейдите к c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471. Щелкните правой кнопкой мыши каждый .dll >Свойства>Разблокировать.

   

7. В приложении Windows PowerShell введите:

   Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1
   

   Введите , R если появится запрос на запуск от ненадежного издателя.

8. Intune административные шаблоны используют бета-версию Graph:

   1. Введите: Update-MSGraphEnvironment -SchemaVersion 'beta'

   2. Введите: Connect-MSGraph -AdminConsent

   3. При появлении запроса войдите с той же учетной записью администратора Microsoft 365. Эти командлеты создают политику в организации клиента.

      Пользователь. Введите учетную запись администратора подписки клиента Microsoft 365.
      Пароль. Введите пароль.

   4. Выберите Принять.

9. Создайте профиль конфигурации тестовой конфигурации . Введите:

   $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST
   

   После успешного выполнения этих командлетов создается профиль. Чтобы подтвердить это, перейдите в Intune центр > администрирования Конфигурация устройств>. Должен быть указан профиль тестовой конфигурации .

10. Получите все параметрыDefinitions. Введите:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET
    

11. Найдите идентификатор определения с помощью отображаемого имени параметра. Введите:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}
    

12. Настройте параметр. Введите:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST
    

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH
    

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET
    

Просмотр политики

1. В центре > администрирования IntuneОбновлениеконфигурации>устройств>.
2. Выберите параметры профиля >конфигурации теста.
3. В раскрывающемся списке выберите Все продукты.

Вы увидите, что параметр Автоматический вход пользователей в клиент приложение синхронизации OneDrive с учетными данными Windows настроен.

Рекомендации по политике

При создании политик и профилей в Intune необходимо учитывать ряд рекомендаций и рекомендаций. Дополнительные сведения см. в статье Рекомендации по политике и профилированию.

Очистка ресурсов

Если вы больше не нужны, вы можете:

• Удалите созданные группы:

  • Все устройства Windows 10 учащихся
  • Все устройства с Windows
  • Все преподаватели

• Удалите созданные шаблоны администраторов:

  • шаблон Администратор — устройства Windows 10 учащихся
  • шаблон Администратор — политики OneDrive, применяемые ко всем пользователям Windows 10
  • Конфигурация тестирования

• Задайте для политики выполнения Windows PowerShell исходное значение. В следующем примере для политики выполнения задается значение Restricted.

  Set-ExecutionPolicy -ExecutionPolicy Restricted
  

Дальнейшие действия

В этом руководстве вы ознакомились с центром администрирования Microsoft Intune, использовали построитель запросов для создания динамических групп и создали административные шаблоны в Intune для настройки параметров ADMX. Вы также сравнили использование шаблонов ADMX локально и в облаке с Intune. В качестве бонуса вы использовали командлеты PowerShell для создания административного шаблона.

Дополнительные сведения об административных шаблонах в Intune см. по следующему разделу:

Использование шаблонов Windows 10/11 для настройки параметров групповой политики в Intune